Quét Nmap Xmas được coi là một quá trình quét lén lút, phân tích các phản hồi đối với các gói Xmas để xác định bản chất của thiết bị trả lời. Mỗi hệ điều hành hoặc thiết bị mạng phản hồi theo một cách khác nhau đối với các gói Xmas tiết lộ thông tin cục bộ như OS (Hệ điều hành), trạng thái cổng và hơn thế nữa. Hiện tại nhiều tường lửa và Hệ thống phát hiện xâm nhập có thể phát hiện các gói Xmas và nó không phải là kỹ thuật tốt nhất để thực hiện quét ẩn, nhưng nó cực kỳ hữu ích để hiểu cách hoạt động của nó.
Trong bài viết trước về Nmap Stealth Scan đã được giải thích cách thiết lập kết nối TCP và SYN (bạn phải đọc nếu chưa biết) nhưng các gói KẾT THÚC , PA và URG đặc biệt có liên quan đến Lễ Giáng sinh vì các gói không có SYN, RST hoặc ALAS các dẫn xuất trong thiết lập lại kết nối (RST) nếu cổng bị đóng và không có phản hồi nếu cổng đang mở. Trước khi không có sự kết hợp các gói như vậy của FIN, PSH và URG là đủ để thực hiện quá trình quét.
Các gói FIN, PSH và URG:
PSH: Bộ đệm TCP cho phép truyền dữ liệu khi bạn gửi nhiều hơn một phân đoạn với kích thước tối đa. Nếu bộ đệm chưa đầy, cờ PSH (PUSH) vẫn cho phép gửi nó bằng cách điền vào tiêu đề hoặc hướng dẫn TCP gửi gói tin. Thông qua cờ này, ứng dụng tạo ra lưu lượng thông báo dữ liệu phải được gửi ngay lập tức, dữ liệu đích được thông báo phải được gửi ngay đến ứng dụng.
URG: Cờ này thông báo các phân đoạn cụ thể là khẩn cấp và phải được ưu tiên, khi cờ được kích hoạt máy thu sẽ đọc một đoạn 16 bit trong tiêu đề, đoạn này cho biết dữ liệu khẩn cấp từ byte đầu tiên. Hiện tại lá cờ này hầu như không được sử dụng.
KẾT THÚC: Các gói RST đã được giải thích trong hướng dẫn được đề cập ở trên ( Nmap Stealth Scan ), trái với các gói RST, các gói FIN thay vì thông báo về việc chấm dứt kết nối yêu cầu nó từ máy chủ tương tác và đợi cho đến khi nhận được xác nhận để chấm dứt kết nối.
Trạng thái cảng
Mở | đã lọc: Nmap không thể phát hiện xem cổng đang mở hay được lọc, ngay cả khi cổng đang mở, quá trình quét Xmas sẽ báo cáo là mở | đã lọc, điều này xảy ra khi không nhận được phản hồi (ngay cả sau khi truyền lại).
Đã đóng cửa: Nmap phát hiện cổng bị đóng, nó xảy ra khi phản hồi là một gói TCP RST.
Đã lọc: Nmap phát hiện tường lửa lọc các cổng được quét, nó xảy ra khi phản hồi là lỗi không thể truy cập ICMP (loại 3, mã 1, 2, 3, 9, 10 hoặc 13). Dựa trên các tiêu chuẩn RFC, Nmap hoặc quét Xmas có khả năng diễn giải trạng thái cổng
Quét Xmas, cũng như quét NULL và FIN không thể phân biệt giữa cổng đã đóng và đã lọc, như đã đề cập ở trên, phản hồi gói có phải là lỗi ICMP Nmap gắn thẻ nó là đã lọc hay không, nhưng như đã giải thích trên sách Nmap nếu đầu dò là bị cấm mà không có phản hồi, nó có vẻ như đã mở, do đó Nmap hiển thị các cổng đang mở và một số cổng được lọc nhất định là mở | đã lọc
Hệ thống phòng thủ nào có thể phát hiện quét Xmas ?: Tường lửa không trạng thái so với Tường lửa trạng thái:
Tường lửa không trạng thái hoặc không trạng thái thực hiện các chính sách theo nguồn lưu lượng, đích, cổng và các quy tắc tương tự bỏ qua ngăn xếp TCP hoặc sơ đồ giao thức. Trái với tường lửa không trạng thái, tường lửa trạng thái, nó có thể phân tích gói phát hiện gói giả mạo, thao tác MTU (Đơn vị truyền tối đa) và các kỹ thuật khác được cung cấp bởi Nmap và phần mềm quét khác để vượt qua bảo mật tường lửa. Vì cuộc tấn công Xmas là một thao tác của các gói tin tường lửa trạng thái có khả năng phát hiện ra nó trong khi tường lửa không trạng thái thì không, Hệ thống phát hiện xâm nhập cũng sẽ phát hiện cuộc tấn công này nếu được cấu hình đúng cách.
Mẫu thời gian:
Hoang tưởng: -T0, cực kỳ chậm, hữu ích để vượt qua IDS (Hệ thống phát hiện xâm nhập)
Lén lút: -T1, rất chậm, cũng hữu ích để vượt qua IDS (Hệ thống phát hiện xâm nhập)
Lịch thiệp: -T2, trung tính.
Bình thường: -T3, đây là chế độ mặc định.
Hung dữ: -T4, quét nhanh.
Điên: -T5, nhanh hơn kỹ thuật quét Aggression.
Các ví dụ về Nmap Xmas Scan
Ví dụ sau đây cho thấy một quá trình quét Xmas lịch sự chống lại LinuxHint.
nmap -sX -T2linuxhint.com 
Ví dụ về Quét Xmas hung hăng chống lại LinuxHint.com
nmap -sX -T4linuxhint.com 
Bằng cách áp dụng cờ -sV để phát hiện phiên bản, bạn có thể nhận thêm thông tin về các cổng cụ thể và phân biệt giữa các cổng đã lọc và đã lọc, nhưng mặc dù Xmas được coi là một kỹ thuật quét ẩn, bổ sung này có thể làm cho tường lửa hoặc IDS quét hiển thị nhiều hơn.
nmap -sV -sX -T4linux.lat 
Quy tắc Iptables để chặn quét Xmas
Các quy tắc iptables sau có thể bảo vệ bạn khỏi quá trình quét Xmas:
iptables-ĐẾNĐẦU VÀO-Ptcp--tcp-flagsFIN, URG, PSH FIN, URG, PSH-NSRƠI VÃIiptables-ĐẾNĐẦU VÀO-Ptcp--tcp-flagsTẤT CẢ-NSRƠI VÃI
iptables-ĐẾNĐẦU VÀO-Ptcp--tcp-flagsTẤT CẢ KHÔNG CÓ-NSRƠI VÃI
iptables-ĐẾNĐẦU VÀO-Ptcp--tcp-flagsSYN, RST SYN, RST-NSRƠI VÃI
Phần kết luận
Mặc dù quét Xmas không phải là mới và hầu hết các hệ thống phòng thủ có khả năng phát hiện nó trở thành một kỹ thuật lỗi thời chống lại các mục tiêu được bảo vệ tốt, nhưng đây là một cách tuyệt vời để giới thiệu các phân đoạn TCP không phổ biến như PSH và URG và để hiểu cách Nmap phân tích các gói nhận được kết luận về các chỉ tiêu. Hơn cả một phương pháp tấn công, quá trình quét này hữu ích để kiểm tra tường lửa hoặc Hệ thống phát hiện xâm nhập của bạn. Các quy tắc iptables được đề cập ở trên đủ để ngăn chặn các cuộc tấn công như vậy từ các máy chủ từ xa. Quét này rất giống với quét NULL và FIN cả về cách thức hoạt động và hiệu quả thấp đối với các mục tiêu được bảo vệ.
Tôi hy vọng bạn thấy bài viết này hữu ích như một giới thiệu về quét Xmas bằng Nmap. Tiếp tục theo dõi LinuxHint để biết thêm các mẹo và cập nhật về Linux, mạng và bảo mật.
Những bài viết liên quan:
- Cách quét các dịch vụ và lỗ hổng bảo mật bằng Nmap
- Sử dụng tập lệnh nmap: lấy biểu ngữ Nmap
- quét mạng nmap
- quét ping nmap
- cờ nmap và những gì chúng làm
- Hướng dẫn cài đặt và cài đặt Ubuntu OpenVAS
- Cài đặt Trình quét lỗ hổng Nexpose trên Debian / Ubuntu
- Iptables cho người mới bắt đầu
Nguồn chính: https://nmap.org/book/scan-methods-null-fin-xmas-scan.html